• Ciberseguridad
• Qué significa el artículo 3.3 en práctica para los fabricantes de dispositivos conectados

Qué significa el artículo 3.3 en práctica para los fabricantes de dispositivos conectados

El artículo 3.3 de la Directiva sobre equipos de radio importa porque añade requisitos más allá de la seguridad, EMC y el uso del espectro para ciertas categorías de equipos de radio. Para los fabricantes de dispositivos conectados, eso significa que la ciberseguridad, la privacidad y las obligaciones relacionadas con el fraude deben ser consideradas más temprano en el diseño de productos, la documentación y la planificación del lanzamiento. La Comisión Europea activó la letra d) del apartado 3 del artículo 3 y (f) a través del Reglamento Delegado (UE) 2022/30, y dichos requisitos se aplican a partir del 1 de agosto de 2025.

Qué cambios del artículo 3.3 para los fabricantes

En el caso de los productos en el ámbito de aplicación, el artículo 3.3 modifica la conversación de cumplimiento de la conformidad general del producto a las obligaciones específicas de ciberseguridad específicas del producto. Los fabricantes deben evaluar si el producto entra dentro del ámbito de aplicación, identificar cuáles de los requisitos adicionales aplican, y actualizar la documentación técnica y la Declaración de Conformidad de la UE en consecuencia. La hoja informativa del gobierno del Reino Unido también señala que los fabricantes deben asegurarse de que existe una documentación adecuada antes de colocar el producto en el mercado.

En términos prácticos, esto afecta:

• ámbito del producto

• documentación técnica

• evaluación de conformidad

• lanzar preparación

• entre equipos de ingeniería, cumplimiento y seguridad de productos

Para obtener una visión general más amplia de la propia normativa, consulte los requisitos de ciberseguridad RED.

Artículos 3(3)(d), (e) y (f), en práctica

El artículo 3.3 de la Directiva sobre equipos de radio contiene requisitos esenciales adicionales para determinadas categorías de equipos de radio. Para el tema de la ciberseguridad, las disposiciones clave son la letra d) del apartado 3 del artículo 3 y (f), que se activaron a través del Reglamento Delegado (UE) 2022/30. La Comisión Europea explica que este acto delegado se introdujo para reforzar la ciberseguridad, la protección de datos personales y la privacidad de ciertas categorías de equipos de radio.

Artículo 3(3)(d), Protección de Redes y Recursos de Red

El Artículo 3(3)(d) se aplica a equipos de radio que pueden comunicarse por sí mismos a través de Internet, ya sea directamente o a través de otros equipos. El requisito es que el equipo no debe dañar la red o su funcionamiento, y no debe hacer un mal uso de los recursos de la red de manera que cause una degradación inaceptable del servicio.

Para los fabricantes, esto suele significar examinar cuestiones como:

• se puede abusar del producto para sobrecargar o interrumpir una red

• puede hacer un mal uso de los recursos de la red a través del comportamiento insecuro

• hacer funciones de actualización, comunicación o control remoto crean una exposición evitable

• existen controles para reducir estos riesgos

En la práctica, esto a menudo atrae más que el hardware. Los equipos pueden necesitar evaluar el dispositivo, la forma en que se conecta, cualquier aplicación de soporte, dependencias de backend y la ruta de actualización.

Artículo 3(3)(e), Protección de Datos Personales y Privacidad

El Artículo 3(3)(e) se aplica a equipos de radio conectados a Internet que procesan datos personales, datos de tráfico o datos de ubicación. También se aplica a ciertas categorías de equipos de radio para el cuidado de niños, equipos de radio para juguetes y equipos de radio portátiles que procesan esos tipos de datos, incluso cuando no están conectados a Internet. El requisito es que el equipo debe incorporar medidas de protección para asegurar la protección de los datos personales y la privacidad del usuario y del abonado.

Para los fabricantes, esto generalmente significa verificar:

• si el producto procesa datos personales, de tráfico o de ubicación

• donde esos datos son recogidos, almacenados, transmitidos o expuestos

• qué partes del sistema manejan los datos, el dispositivo, la aplicación, el backend o los servicios de terceros

• qué salvaguardias existen sobre el acceso, el almacenamiento, la transmisión y la privacidad del usuario

Este es uno de los ejemplos más claros de por qué el alcance a menudo se extiende más allá del propio dispositivo. Un producto puede parecer simple a nivel de hardware, pero los riesgos relevantes para la privacidad y la protección de datos pueden estar en la aplicación, la plataforma en la nube o la capa de cuenta.

Artículo 3(f), Protección contra la Fraud

El Artículo 3(3)(f) se aplica a equipos de radio que pueden comunicarse por sí mismos a través de Internet y permiten al titular o usuario transferir dinero, valor monetario o moneda virtual. El requisito es que el equipo debe soportar ciertas características que aseguren la protección contra fraudes. Para los fabricantes, esto suele plantear preguntas como:

• habilita los pagos, el valor almacenado o la actividad de la moneda virtual

• dónde están las funciones relacionadas con el fraude

• qué controles protegen esas funciones del abuso o acciones no autorizadas

• qué evidencia muestra que esas protecciones están diseñadas y aplicadas apropiadamente

Esto puede ser relevante más allá de los dispositivos de pago tradicionales. Cualquier equipo de radio conectado que habilite este tipo de funciones de transferencia de valor puede necesitar una revisión más profunda.

Por qué esto importa en la práctica

El impacto práctico del Artículo 3.3 es que los fabricantes necesitan pasar de una etiqueta regulatoria amplia a una evaluación específica para el producto.

Las preguntas reales son:

• cuál de estas disposiciones se aplican a este producto

• qué partes del sistema caen dentro del ámbito

• que controles o decisiones de diseño responden a los requerimientos relevantes

• qué documentación y evidencia soportan esa posición

La hoja de datos del Gobierno del Reino Unido también señala que los fabricantes que comercializan equipos de radio en el ámbito de aplicación de la normativa (UE) 2022/30 deben garantizar que el producto se diseñe y fabrica de conformidad con los requisitos esenciales adicionales. actualizar la documentación técnica y actualizar la Declaración de conformidad de la UE.

Ésa es la razón por la que el Artículo 3.3 afecta más que la frase de cumplimiento. Cambia el alcance, la documentación y la preparación para lanzar productos conectados.

Qué productos deben pagar la atención de cierre

Generalmente se necesita una revisión más cercana cuando el producto:

• se comunica a través de Internet, directamente o a través de otro equipo

• procesar datos personales, de tráfico o de ubicación

• incluye una aplicación acompañante o servicio de backend

• soporta acceso remoto, control remoto o actualizaciones

• habilita el pago, el valor almacenado o la transferencia virtual de moneda

La Comisión y el Gobierno del Reino Unido describen el alcance en términos de equipos de radio conectados a Internet. y para la letra e) del apartado 3 del artículo 3, ciertos productos que procesan los datos pertinentes.

Lo que esto significa para el ámbito y la documentación

Artículo 3.3 es donde muchos equipos se dan cuenta de que el dispositivo por sí solo no es el límite total de cumplimiento. La revisión a menudo necesita cubrir el dispositivo, la aplicación, el backend, el manejo de cuentas, los flujos de datos, los mecanismos de actualización y los procesos de seguridad. Los fabricantes normalmente necesitan:

• una definición de ámbito clara

• identificación de los requisitos pertinentes del artículo 3.3

• límites documentados del sistema

• requerir mapeo

• documentación técnica actualizada

• una Declaración de Conformidad de la UE actualizada

• pruebas de apoyo vinculadas al producto y a sus controles

Para ver más a fondo la estructura de documentación, consulte los requisitos EN 18031 y la lista de pruebas

Cómo la EN 18031 se conecta al artículo 3.3

Las normas EN 18031 proporcionan una ruta técnica reconocida que los fabricantes pueden usar para respaldar la conformidad con los requisitos de ciberseguridad RED. La hoja informativa del gobierno del Reino Unido establece que EN 18031-1, EN 18031-2, y EN 18031-3 son oficialmente reconocidas como normas armonizadas para equipos de radio en el ámbito del Reglamento (UE) 2022/30, mientras que el uso de estas normas sigue siendo voluntario

Esto significa que el flujo de trabajo práctico a menudo se ve así:

1. determinar si se aplica el artículo 3.3

2. identificar qué parte de EN 18031 es relevante

3. definir alcance en todo el ecosistema de productos

4. requerimientos del mapa y preparar evidencia

Cyberexpert ayuda a los equipos a trabajar a través de esto: para evaluar si el artículo 3. se aplica, a definir el alcance y estructurar la documentación. Si estás en esa etapa, la página de requisitos de ciberseguridad RED explica cómo suelen ser los siguientes pasos.

Si estás trabajando a través de lo que el Artículo 3. significa para su producto específico, la página Requerimientos de ciberseguridad RED recorre los siguientes pasos, incluyendo cómo encaja EN 18031 y lo que los fabricantes de documentación normalmente necesitan.